Nedense \u015fu ve benzeri ifadelerle kar\u015f\u0131la\u015f\u0131yoruz: \u201c\u015eirketimiz \u00f6nemli bir akt\u00f6r de\u011fil; bir sald\u0131rgan i\u00e7in ilgi \u00e7ekici bir hedef olamaz.\u201d Bu ifade ne kadar pop\u00fcler olsa da yanl\u0131\u015f bir yoruma i\u015faret ediyor. \u0130\u015fte bir APT operat\u00f6r\u00fcn\u00fcn, tedarik zinciri sald\u0131r\u0131s\u0131nda k\u00fc\u00e7\u00fck bir \u015firketi nas\u0131l kulland\u0131\u011f\u0131na dair bir \u00f6rnek.<\/p>\n
Bu ay\u0131n ba\u015flar\u0131nda ger\u00e7ekle\u015fen G\u00fcvenlik Analizi Zirvesinde, AVAST\u2019ta \u00e7al\u0131\u015fan meslekta\u015flar\u0131m\u0131z, ge\u00e7en y\u0131l elde ettikleri k\u00fc\u00e7\u00fck bir \u0130ngiliz \u015firketine dair, Piriform vakas\u0131n\u0131 sundular. Piriform, CCleaner program\u0131yla \u00fcnl\u00fcd\u00fcr. Bu yaz\u0131l\u0131m istenmeyen dosyalar\u0131 ve ge\u00e7ersiz Windows Registry girdilerini temizlemek i\u00e7in kullan\u0131lmaktad\u0131r. Asl\u0131nda, CCleaner en eski sistem temizleyicilerinden biridir ve 2 milyardan fazla say\u0131da indirilmi\u015ftir. Bu program muhtemelen bu sebeple APT akt\u00f6rleri taraf\u0131ndan casus yaz\u0131l\u0131mlar\u0131 yaymak i\u00e7in se\u00e7ildi.<\/p>\n
Su\u00e7lular ba\u015flang\u0131\u00e7ta programlar\u0131n \u00fcretildi\u011fi sunuculara vir\u00fcs bula\u015ft\u0131rarak Piriform\u2019un derleme \u00e7evresini riske att\u0131lar. Kaynak kodu temiz olsa da, derlenen yap\u0131 daha sonra sald\u0131r\u0131 i\u00e7in kullan\u0131lacak k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131 i\u00e7eriyordu. Dahas\u0131, de\u011fi\u015ftirilmi\u015f derleyici kitapl\u0131\u011f\u0131 sayesinde k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m yasal bir Piriform dijital imzas\u0131 kazand\u0131. CCleaner 5.33.6162 ve CCleaner Cloud 1.7.0.3191 etkilendi.<\/p>\n
Sald\u0131r\u0131 plan\u0131 olduk\u00e7a karma\u015f\u0131kt\u0131 ve en az \u00fc\u00e7 a\u015famaya sahipti. 100 milyon aktif kullan\u0131c\u0131ya sahip olan pop\u00fcler uygulamada gizli olan k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, bir ay boyunca kullan\u0131c\u0131lara da\u011f\u0131t\u0131ld\u0131. 2,27 milyon insan k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131ma sahip program\u0131 indirdi ve bu yaz\u0131l\u0131m\u0131n en az 1,65 milyon kopyas\u0131 su\u00e7lular\u0131n sunucular\u0131yla ileti\u015fime ge\u00e7meye \u00e7al\u0131\u015ft\u0131. Daha sonra anla\u015f\u0131ld\u0131\u011f\u0131 \u00fczere komuta ve kontrol sunucusu, ikinci a\u015famada hangi kurbanlar\u0131n hedef olaca\u011f\u0131n\u0131 belirleyen basit bir kod i\u00e7ermekteydi. Bu kod kurban\u0131n etki alan\u0131na bak\u0131yor ve y\u00fcksek profilli teknik \u015firketler ve BT tedarik\u00e7ileriyle \u00e7al\u0131\u015fanlar\u0131 se\u00e7iyordu. Bu y\u00f6ntemle yaln\u0131zca 40 bilgisayar se\u00e7ildi ve bu bilgisayarlara ba\u015fka bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m g\u00f6nderildi.<\/p>\n
\u0130kinci a\u015fama benzeri bir amaca hizmet ediyordu \u2014 bu a\u015fama da hedef tespitini ger\u00e7ekle\u015ftirmek i\u00e7in kullan\u0131ld\u0131. G\u00f6r\u00fcn\u00fc\u015fe g\u00f6re su\u00e7lular bu 40 bilgisayardan bilgileri ald\u0131lar, analiz ettiler ve en ilgi \u00e7ekici hedefleri belirlediler. Bu a\u015famada, hedefteki grubu d\u00f6rde d\u00fc\u015f\u00fcrd\u00fcler.<\/p>\n
Bu d\u00f6rt ki\u015fi, \u00c7ince konu\u015fan akt\u00f6rler taraf\u0131ndan kullan\u0131lmakta olan tan\u0131nm\u0131\u015f k\u00f6t\u00fc ama\u00e7l\u0131 ShadowPad<\/a> yaz\u0131l\u0131m\u0131n\u0131n uygun hale getirilmi\u015f bir yap\u0131s\u0131n\u0131 ald\u0131lar. \u0130\u015fte bu, sald\u0131r\u0131n\u0131n as\u0131l amac\u0131yd\u0131: y\u00fcksek profilli \u015firketlerdeki belirli \u00e7al\u0131\u015fanlara gizli eri\u015fim sa\u011flamak.<\/p>\n Bu olaydan \u00e7\u0131kar\u0131lacak as\u0131l dersi bu yaz\u0131n\u0131n ba\u015f\u0131nda belirttik \u2014 E\u011fer APT i\u00e7in \u00f6nemli bir hedef de\u011filseniz bile, bir iletim zincirinde ara\u00e7 olarak kullan\u0131labilirsiniz. \u00d6zellikle milyarlarca kez indirilen bir programa sahipseniz. \u0130\u015fletmenizde ger\u00e7ekle\u015febilecek hasarlar\u0131 en aza indirmek i\u00e7in, hedefli sald\u0131r\u0131lara kar\u015f\u0131 kapsaml\u0131 koruma sa\u011flayan bir strateji uygulaman\u0131z gerekmektedir. Bu koruma kapsama \u015funlar dahil olmal\u0131d\u0131r: yan\u0131ta kar\u015f\u0131 hareket ve tespit, g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n ortadan kald\u0131r\u0131lmas\u0131 ve muhtemel risklerin \u00f6ng\u00f6r\u00fclmesi. Bazen i\u015fletme d\u0131\u015f\u0131ndaki di\u011fer uzmanlardan yard\u0131m almak ak\u0131ll\u0131ca olabilir.<\/p>\n G\u00fcvenli\u011fin s\u0131rr\u0131 tehditleri avlamaktan ge\u00e7er. Komplike bir hedefli sald\u0131r\u0131 bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m yerle\u015ftirebilir ve dikkat \u00e7ekmeden varl\u0131\u011f\u0131n\u0131 s\u00fcrd\u00fcrebilir (s\u00f6z konusu vakada Piriform, fark\u0131nda olmadan k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n bir aydan fazla s\u00fcre yay\u0131lmas\u0131na neden olmu\u015ftur). Bu sald\u0131r\u0131lar\u0131 engellemek i\u00e7in, deneyimli tehdit avc\u0131lar\u0131na ihtiyac\u0131n\u0131z var. \u0130\u015fte bu noktada Kaspersky Threat Hunting<\/a> ile size yard\u0131mc\u0131 olabiliriz. Hedefli Sald\u0131r\u0131 Ke\u015ffi sayesinde uzmanlar\u0131m\u0131z, alt\u0131nda yatan nedenleri ve olaylar\u0131n muhtemel kaynaklar\u0131n\u0131 anlaman\u0131z i\u00e7in a\u011f\u0131n\u0131zdaki mevcut bili\u015fim su\u00e7lusu ve casus faaliyetlerini tan\u0131mlaman\u0131za yard\u0131mc\u0131 olur. Ayr\u0131ca, etkili azaltma faaliyetleri ve gelecekte olu\u015fabilecek benzeri hatalar\u0131 \u00f6nleme konusunda da size yard\u0131mc\u0131 olur. Ek olarak, 24 saat s\u00fcren g\u00f6zetim ve devaml\u0131 siber tehdit verileri analizi sunan Kaspersky Managed Protection da sa\u011flayabiliyoruz.<\/p>\nNe yap\u0131labilir?<\/h2>\n